影响2023年网络安全预算规划的五个因素

企业的CISO在准备2023年的安全预算时，总会有人无从下手，总是会问自己“我应该从哪里开始？”。网络威胁的形式多种多样，并且瞬息万变。保护组织免受它们的影响，确定关键因素，并确定最需要关注的风险是企业的一项紧迫任务。然而，安全领导者需要开始考虑他们必须花费多少以及如何分配他们的预算。WestMonroeConsulting网络安全总监DavidChaddock表示：“在高层次上，在定义战略目标和制定安全预算时，首席信息安全官应该知道，真正的问题会让安全领导者处于困境——受限于维持当前的安全运营和一些新的安全措施。虽然一些成熟的组织或经历过网络攻击的组织已经看到了不断变化的网络威胁的危害并为此做好了准备。但是，现实情况是，大多数组织虽然对安全的需求有所增加，但预算用于安全措施一直保持原样。”影响明年安全预算的关键因素可能分为以下五类：不断变化的威胁形势经济趋势及其对黑客的影响俄罗斯等地缘政治事件不断发展的政府和其他监管指南不断发展的网络保险要求CISO需要密切关注这些1.不断变化的威胁形势，以及不断变化的劳动力模式。许多公司的目标也正在转向数字业务。Gartner高级研究总监RuggeroContu表示：“数字化转型举措扩大了整个攻击者的攻击面。CISO预算必须能够满足来自外部风险的新要求，而原来的预算重点只放在内部基础设施上。”Contu认为，暴露的漏洞（例如未修补的服务器和互联网连接设备中的开放端口）、云系统配置错误、泄露关键信息（如凭据）和受损资产（如欺骗域和企业移动应用程序）高频是攻击目标域的典型案例。端点设备的快速增长，包括物联网(IoT)的增长，而固有的安全风险也会影响支出。“制造、能源、运输和医疗保健领域的安全预算必须侧重于保护受物联网系统漏洞影响的工业环境和系统，以及IT和运营技术(OT)的融合”Contu说。2.经济趋势导致网络安全资源稀缺的经济趋势，尤其是通货膨胀，可能会产生影响对网络安全支出和黑客行为的重大影响。咨询公司PlanteMoran的合伙人兼网络安全实践负责人RajPatel表示，网络资源稀缺加上通货膨胀将是未来12至18个月增加网络安全预算和支出的最重要因素。“基本上，每个人都听到网络预算在增加，问题是哪些类别在增加？答案是安全团队人员配备和安全工具。”拉杰·帕特尔还表示：“网络人才难求，企业需要支付更高的工资。这使工资成本至少增加了10%至15%。由于资源稀缺，8-12岁的员工较少“多年的经验。至于安全产品和服务的趋势，在过去的四年里，管理网络风险的工具和技术明显改进了很多。”此外，Chaddock认为，贫富差距及其造成的经济不确定性，将不可避免地导致黑客攻击和其他可能破坏稳定的网络安全事件的增加。随着公司变得更加数字化，它们将越来越容易受到安全漏洞的影响。3.地缘政治增加安全风险的事件就今年的国际事件而言，最引人注目的可能是俄罗斯与乌克兰之间的战争，这可能继续对网络安全和风险产生重大影响。政府和其他与国家关键基础设施相关的行业。在帕特尔看来，当前的地缘政治事件也让黑客为国家服务并得到国家的资助。他们拥有深厚的技术功底，加上攻击关键基础设施所需的资源和美国和欧洲的公司。WestMonroe收集季度调查问卷f来自收入超过5亿美元的公司的250名C级高管，询问高管他们的公司今年考虑采取哪些安全措施。结果显示，由于地缘政治和供应链不稳定，大多数高层管理人员（60%）表示正在考虑增加支出或更加关注网络安全，因为网络战已成为越来越普遍的获得竞争优势的手段之一.查多克认为，针对乌克兰开发的国家级网络攻击工具也可以用于其他方面。大多数组织都没有得到足够的保护，容易受到国与国之间的网络攻击，这意味着大多数当前的安全计划都落后了，需要在运营资本之外进行大量投资才能“保持运转”。4.不断发展的监管要求监管要求在过去几年一直在变化，包括处理数据隐私的法律。遵守合同中的各种隐私法规和安全义务的成本正在上升。有些合同可能要求第三方审计师进行独立测试。由于通货膨胀和工资上涨，审计师和顾问也在提高费用。Chaddock认为，组织应该专注于建立一个整体强大的安全网，而不是仅仅关注合规性。当组织真正安全时，实现和维护合规性的成本应该会降低。不断发展的法规遵从性要求，特别是对于那些支持关键基础设施的组织。虽然为此付出了高昂的代价，可能会影响日常的安全操作，但如果有利于安全保护，也应该努力履行监管义务。5.不断变化的网络保险要求和不断上升的成本在勒索软件等攻击被广泛宣传之后，越来越多的组织正在购买，或者至少是在考虑购买网络保险计划。如果支付此类保险的成本超过安全预算，则CISO将需要考虑保险成本的上升以及影响预算的其他因素。“网络保险的实际成本正在上升，大约20%到25%，公司可以通过降低承保水平或增加免赔额来降低成本，这意味着承担更多风险，”帕特尔说。企业保障等级越高，保费越低。”查多克说，公司应该考虑网络保险的成本，更重要的是，要考虑维护有效和安全的备份和恢复能力的成本。相关费用。当前的敲诈勒索团伙攻击企业，利用勒索病毒获取企业敏感信息，并以“披露不给钱”的方式进行敲诈勒索，导致不少机构陷入财务困境。因此，如果企业具备安全、弹性的备份能力和恢复能力，攻击的影响就会小很多。购买或不购买网络安全保险对企业来说是一个巨大的竞争优势。参考来源：https://www.csoonline.com/article/3666495/5-key-considerations-for-your-2023-cybersecurity-budget-planning.html